Ddostf僵尸网络在MySQL服务器上部署攻击

“Ddostf”僵尸网络将其活动重点放在 MySQL 服务器上，目的是控制并向其他网络犯罪分子提供其 DDoS 功能作为服务。

AhnLab 安全紧急响应中心 (ASEC) 的研究人员在定期检查针对数据库服务器的危险时发现了这一威胁。 ASEC 透露，Ddostf 的操作者利用尚未更新的 MySQL 设置中的弱点，或尝试通过猜测管理员帐户的弱密码进行入侵。他们主动扫描互联网上暴露的 MySQL 服务器，尝试通过尝试各种管理员凭据来破坏它们。

对于 Windows MySQL 服务器，攻击者使用称为用户定义函数 (UDF) 的功能在受感染的系统上运行命令。 MySQL 中的 UDF 允许用户用 C 或 C++ 创建函数并将其编译为 DLL 文件，从而扩展数据库服务器的功能。

在这种情况下，攻击者创建自己的UDF，并将其作为具有恶意功能的DLL文件（amd.dll）注册到数据库服务器，包括下载Ddostf DDoS僵尸程序有效负载，执行系统级命令，以及将命令执行结果发送到数据库服务器。攻击者。这种 UDF 滥用有助于加载攻击的主要有效负载，即 Ddostf 机器人客户端，但它也可能导致其他恶意软件安装、数据盗窃以及创建用于持久访问的后门。

Ddostf 僵尸网络的起源

Ddostf 是大约七年前发现的源自中国的恶意软件僵尸网络，它针对 Linux 和 Windows 系统。在 Windows 上，它通过在初始运行期间伪装成系统服务来确保持久性，然后解密其命令和控制 (C2) 配置以建立连接。该恶意软件收集有关主机系统的信息，例如 CPU 详细信息、语言、Windows 版本和网络速度，并将这些数据发送到其 C2。

然后，C2 服务器可以向僵尸网络客户端发送各种命令，包括不同类型的 DDoS 攻击、请求停止发送系统状态信息、切换到新的 C2 地址或下载并执行新的有效负载。 ASEC 指出，Ddostf 连接到新 C2 地址的能力使其有别于大多数 DDoS 僵尸网络恶意软件，从而使其更能抵御攻击。

为了防范这些威胁，网络安全公司建议 MySQL 管理员保持系统更新，并使用长而独特的密码来防止暴力破解和字典攻击。